안녕하세요. 더 넓은 IT를 위한 WIDE Network! 입니다.
본 포스팅에서는 XSS(Cross Site Scripting)에 대하여 다루어 볼 예정입니다.
기본적으로 XSS인데 왜 Cross 로 시작할까요?
CSS와 헷갈리기 때문입니다.
CSS는 이미지에 사용되죠 ^^. 본 티스토리의 경우에도 디자인에 CSS가 들어가구요.
CSS와 XSS는 약자는 비슷하지만, 내용은 전혀 다릅니다.
XSS는 대부분 유저들의 쿠키값을 탈취하는데 사용되는 경우가 많습니다.
쿠키 변조라고 하여, 쿠키값을 변조하여 특정 게시판에 접근도 가능합니다.
또한 JS에 바이러스를 삽입하여 Alert과 함께 Drive By Download 공격에 사용되기도 합니다.
예를 들어보도록 하겠습니다.
게시판이 있습니다. 해당 게시글을 보려고 하는데 권한이 없다고 출력됩니다.
그러면 권한을 높여주면 가능하겠죠?
Name : 관리자
Level : 8
Subject: 관리자만 볼 수 있습니다!
라는 게시글이 있다고 가정할때, 관리자의 레벨은 8이 될것입니다.
레벨 8 이상만 해당 게시글을 볼 수 있는것이죠.(쿠키상)
쿠키값을 변조하여 레벨8로 변경하면 해당 게시글을 리딩할 수 있을것입니다.^^
XSS는 매우 다양합니다.
XSS의 진화형인 Dom-base XSS 도 있습니다.
추후 상세히 포스팅하겠습니다.
